La mise en place prochaine d'un label « Cloud de confiance » avec des solutions pouvant être sous licence américaine continue de faire des remous, malgré la stratégie de communication positive des ministres concernés. InterHop pointe des zones de flou, le rôle de Capgemini étant contesté.
Il y a deux semaines, le gouvernement dévoilait sa nouvelle doctrine en matière de cloud. Une annonce suivie par celle de la création de Bleu, une entreprise commune entre les français Capgemini et Orange, devant proposer les services de Microsoft avec le label « Cloud de confiance » afin d'assurer protection et sécurité des données.
Critiquée par plusieurs entreprises françaises (du PaaS et de l'IaaS), la séquence a soulevé de nombreuses questions. Parmi elles, le rôle que jouera Capgemini qui a remporté en mai 2020 le marché public de l'Union des Groupements d'Achats Publics (Ugap) pour les services d’informatique en nuage (cloud externe, C3).
- Yann Klis (Scalingo), « le cœur de notre proposition de valeur c'est le logiciel »
- Cloud de confiance : Scaleway note des avancées mais « l’État semble abdiquer toute ambition »
Un marché dont elle risque d'être fournisseur et prestataire, alors qu'elle est déjà associée à certains des fournisseurs de ce marché dans différentes initiatives. Ce qui a fait réagir la plupart des acteurs interrogés.
La présence de Capgemini, un point de crispation
Arnaud de Bermingham, fondateur et Président de Scaleway était d'ailleurs intervenu publiquement suite à l'annonce de la création de Bleu, indiquant qu'il « y a la aussi un mélange des genres discutable et choquant. Ils sont titulaires du marché UGAP C3 et donc le guichet unique de la quasi totalité de la commande du Cloud de l’état ».
Même son de cloche chez Yann Klis de Scalingo, qui a accepté de nous répondre publiquement. Le premier y voit « un énorme problème en ce qui concerne le marché Cloud C3 de l'Ugap dont Capgemini est l'attributaire. Le marché nous semble caduc et doit être réattribué à un acteur qui soit neutre, qui ne fournit pas lui-même des services susceptibles d'être vendu via ce marché ».
Référencée dans le marché « Multi-éditeurs », la startup indique que « nos contacts chez Capgemini ont un peu fait trainer notre demande pour rentrer dans C3. Les critères d'entrée dans C3 ne sont pas très clairs pour nous et maintenant que Bleu est annoncé, cela pose question sur les échanges que nous avons eu avec Cap jusque-là... ».
Un problème également évoqué par Quentin Adam de Clever Cloud qui est en discussion « depuis des mois » avec Capgemini pour une intégration au marché C3, « mais on nous répond que rien n'est possible avant 2022 ».
L'Ugap botte en touche
Interrogée la semaine dernière, l'Ugap nous avait promis une réponse cette semaine. Elle est arrivée tôt hier, mais ne sera sans doute pas de nature à rassurer ceux qui s'inquiètent de la situation.
En effet, l'Union nous a simplement indiqué ne pas être « en capacité de répondre à vos questions. Nous n’avons pas assez de matière pour vous répondre de façon efficiente ». Malgré notre tentative d'obtenir une position plus précise, nous n'avons pas eu de retour complémentaire. Il faudra sans doute attendre que Bleu soit créée.
Les acteurs, fournisseurs et le prestataire exclusif du marché C3 de l'Ugap
InterHop s'interroge
Nous avons également questionné InterHop, l'association ayant été critique des choix opérés autour du Health Data Hub, elle est forcément attentive aux mouvements autour du cloud de confiance, les partenariats de Microsoft (hébergeur actuel du HDH via Azure) et des acteurs tels que Capgemini ou Orange.
Pour elle « trop de questions restent en suspend ». Elle pointe la question de l'isolement réel de la plateforme telle qu'elle sera mise en place. « Sera-t-elle strictement isolée du cloud Microsoft Azure géré par Microsoft ? ». L'une des questions est notamment de savoir si ce dernier fournira uniquement les briques logicielles, ou également le matériel, à savoir les serveurs qui seront utilisés au sein des datacenters d'Orange.
Nous avons interrogé le FAI sur le sujet, sans réponse pour le moment. Nous avons également demandé à l'ANSSI si une société française qui opèrerait des serveurs et un logiciel fournis par Microsoft pourrait obtenir le label Cloud de confiance du fait de sa gouvernance française et de ses pratiques internes.
InterHop voudrait également savoir si « le code source de Microsoft Azure sera audité par l'ANSSI pour garantir toute la confiance nécessaire ? ». L'association ajoute que « Capgemini via plusieurs filiales est très présente aux USA. On a pu mesurer l'ingérence américaine notamment lors du rachat d'Alstom par General Electric. Qu'en est-il de l'ingérence américaine sur des sociétés traitant en dollar ? »
« Les données de santé de plus de 70 millions de personnes devrait être gérées par des entreprises strictement sans lien avec des intérêts américains » tranche-t-elle, ajoutant que « la meilleure sécurité est l'ouverture : nous regrettons que les codes source du Health Data Hub (cf demande du CNLL) et de Microsoft Azure ne soient pas ouverts et que l'argument fallacieux de la sécurité par l'obscurité gagne toujours. Surtout après la circulaire du Premier ministre, la loi pour une République Numérique et la mission Bothorel ».
Commentaires (10)
#1
“Azure ça popote” un directeur de Dassault Aviation avec qui j’ai travaillé.
Résultat : Un VPN qui n’est pas garantis, et des datas qui se balade ou ne sait pas ou et des prestataire qui voient rouge car les VPN de microsoft sont pas garantis. forcément ça fonctionne pas tout les jours.
Conséquences : Des pièces qui ne sont pas livré à l’heure, et un espionnage industriel organisé, un SI incompétent et guerre de tickets entre les différentes entités.
#2
Les wagons des arguments fallacieux pour la promotion de Azure roulent sur le rail de la paresse intellectuel.
#2.1
Quelle paresse intellectuelle?
Ouai, les fournisseurs sont foireux.
Ouai, CapGem c’est le mal.
En attendant, on fait comment sans eux?
(edit: non, les équipes techniques fonctionnaires n’ont pas le temps de le faire en interne, je n’ai pas cherché mais je suis certains que si vous voulez, il y a sûrement des postes ouverts non pourvus)
#2.2
Ou à l’inverse vous constatez que les moyens mis dans les systèmes SI fonctionnaire sont… inexistants (le fameux “il faut supprimer des postes de fonctionnaires”, qu’on nous rabâche depuis des décennies..) ou gérés par des incompétents qui dépensent tout dans des appels d’offres aux coûts astronomiques pour quelque chose de foireux, quand ce n’est pas directement vers les géants américains ?
Si on mettait vraiment les moyens dans les DSI français pour avoir quelque chose de propre, on aurait clairement moins de soucis. Mais bon, Scaleway et OVH c’est pas assez bien côté “valorisation en bourse, en lobbying, et capacité de fusion-acquisition…”, pour citer Scaleway.
#2.3
Je t’assure qu’il y a des postes à pourvoir.
Mais le soucis, c’est de mettre des moyens pour être attractif: même si les grilles ont été revalorisées, ça reste limite, et les CDI directs, des exceptions. Donc, il est davantage séduisant d’aller postuler à Cap Gemini (si on ne considère que le salaire, le CE, et autres avantages connexes. Perso, je n’irai jamais poser un CV là-bas)
#2.4
Pour donner un exemple chiffré, au CNRS, un ingénieur d’études en informatique commence à 1750€/mois net (revalorisation de 2020), toutes primes comprises. À 5 ans d’ancienneté (pour un fonctionnaire; 10 ans pour un contractuel), on arrive tout juste à 2000€/mois. La plupart des postes sont à Paris, et c’est de plus en plus en CDD.
Clairement, un CDD en informatique à 1750€/mois à Paris, avec comme horizon d’atteindre un jour les 2k€/mois, ça ne déplace pas les foules, et ça ne les garde pas non plus: il y a un gros problème de turnover.
#2.6
même en province ^^
il y a la même problématique par chez moi.
#2.5
Bah, il y a plein d’alternatives à Microsoft, avec licences ou non, libre ou non, ça dépends de ce que tu veux faire.
Si tu commence à acheter en masses des licences Microsoft, tu vas rester chez eux un bon moment.
( Dans mon services on utilise du Red hat, et leurs distribution desktop/serveurs fonctionne très bien )
Donc prétendre réglé le soucis par “qui achète et installe les licences” ça déplacer le problème.
Mettre des moyens dans le privé dans un vrai SI complet, ça coutera certainement plus cher au début, mais tu t’y retrouve très rapidement du moment qu’il y a pas de turn-over dans les services;
que ce soit au niveau de la maitrise des compétences, des coups et des scopes, la possibilité aussi de modeler le fonctionnement de ta boite comme tu l’entant sans avoir à marchander avec les sous-traitants, c’est une vrai liberté.
La fonction publique, c’est un autre problème je suppose, mais je connais pas suffisamment le sujet pour en parler bien que j’y bosse actuellement.
#3
C’est tellement pas étonnant…
#4